Während sich die großen Branchenakteure im Bereich Industrie 4.0 mit neuen Fabriken, Anlagen und Softwareanwendungen übertrumpfen, hinken kleine und mittlere Unternehmen (KMU) oftmals hinterher und vernachlässigen die Cybersecurity. „Das Bewusstsein ist bei den kleinen Unternehmen geringer ausgeprägt als bei den großen. Sie haben schlichtweg keine großen Sicherheitsabteilungen und das Risiko wird nicht derart wahrgenommen“, konstatiert Udo Schneider, IoT Security Evangelist Europe bei Trend Micro.
Dabei ist die Bedrohungslage grundsätzlich die selbe – und die Angriffsfläche nimmt durch Homeoffice weiter zu. Da sich die Einfallstore für Cyberattacken in IT und OT gleichermaßen finden sowie Infektionen sich auf den jeweils anderen Bereich auswirken können, sei die mitunter vorherrschende Silodenke laut Schneider längst überholt.
So erfolgt die Suche nach Produktionsanlagen
Welche Bedingungen gegeben sein müssen, veranschaulicht der Experte mit einer Adaption des Branddreiecks: Anstatt brennbares Material, Sauerstoff und einen Zündfunken bedarf es bei Cyberangriffen auf die Produktions-IT eines auffindbaren Systems, eine Sicherheitslücke und ein Geschäftsmodell der Kriminellen. Die erste Aufklärungsarbeit der Angreifer erfolgt dabei mittels Suchmaschinen wie Shodan. Diese finden Geräte, die am offenen Netz hängen und liefern Informationen über die Art der Anlage, den Hersteller oder den aktuellen Softwarestand.
Auf diese Weise können mögliche Sicherheitslücken erforscht und anschließend ein Brückenkopf geschaffen werden, um in weitere Systeme einzudringen – unabhängig davon, ob dieser in der Office- oder der Produktions-IT liegt. Zwar gäbe es Schneider zufolge auch gute Gründe, offene Systeme einzurichten, diese seien aber die absolute Ausnahme. „In vielen Fällen sind die Geräte unabsichtlich auffindbar und damit ein Sicherheitsrisiko. Bei Protokollen zur Produktionssteuerung gibt es eigentlich kein Szenario, in dem das Sinn ergibt.“
Ransomware bleibt die größte Gefahr
Auch in Bezug auf Sicherheitslücken legt seine Einschätzung ein erhöhtes Gefahrenpotenzial nahe. Produktionssysteme seien in Bezug auf Softwarestände tendenziell schlechter geschützt als die Office-IT, eine übermäßige Angst vor einer neuen Dimension der Angriffe rechtfertige dies jedoch nicht. „In den letzten Jahren ist recht wenig passiert, da aus Sicht klassischer Cyberkrimineller das Geschäftsmodell fehlt“, so Schneider.
„Es ist eine Mär, dass sich jemand im großen Maßstab die Mühe machen würde, Anlagen über industriespezifische Protokolle oder Steuerungssysteme zu kompromittieren.“ Anstatt manipulierten Robotern oder lahmgelegten Fertigungsstraßen müssten Unternehmen vornehmlich herkömmliche Gefahren fürchten – Ransomware. Anlagen hacken oder Konstruktionsdaten stehlen, sei schlichtweg zu aufwändig. Daten mittels Kryptotrojanern verschlüsseln und Lösegeld erpressen bleibe das profitabelste Geschäftsmodell.
Kryptowährungen ermöglichen das Geschäftsmodell
Die Initialinfektion erfolgt somit beim Gros der Fälle weiterhin über die klassische IT – eine E-Mail mit Anhang an die Personalabteilung, Buchhaltung oder eben an einen Entwicklungsingenieur. Früher wurden anschließend sofort Office-IT-Komponenten verschlüsselt, inzwischen habe sich das Vorgehen laut dem Spezialversicherer Hiscox jedoch geändert. Die Angreifer verbringen mitunter längere Zeit unbemerkt im System, um sich maximale Rechte zu erschleichen und in sensible Systembereiche vorzudringen – zum Beispiel auch in der OT.
Mitunter werden diese „Leads“ anschließend an spezialisierte Hacker in Foren weiterveräußert. „Technisch sind solche Trojaner ein alter Hut, trotzdem haben sie erst vor rund fünf Jahren massiv durchgeschlagen. Erst ab diesem Moment wurde durch die anonyme und sichere Lösegeldzahlung mittels Kryptowährungen ein veritables skalierbares Geschäftsmodell möglich“, resümiert Udo Schneider von Trend Micro. Zunehmend betroffen seien davon auch KMU.
So können KMU die Cybersecurity erhöhen
Doch welche Maßnahmen können kleinere Branchenakteure einleiten, um sich und ihre Vertragspartner in der Lieferkette vor Eindringlingen zu schützen? Zunächst habe eine Risikoanalyse zu erfolgen, damit IT-Gefahren korrekt adressiert werden können, empfiehlt Schneider. „Die Systeme in der Produktion sind nämlich meist nicht so autark wie gedacht.“ Danach sollten Netzwerke, Geräte und Daten gesichert sowie alte Anlagen mit veralteten Softwareständen upgedatet oder, falls nicht möglich ist, mittel Virtual Patching geschützt werden.
„Da die größte Gefahr meist vor dem Rechner sitzt, ist auch die Schulung der Mitarbeiter als präventive Maßnahme unerlässlich“, ergänzt Sandra Balz. Sie leitet die Transferstelle IT-Sicherheit im Mittelstand (TISiM), die im Januar 2020 vom Bundeswirtschaftsministerium (BMWi) ins Leben gerufen wurden. „Es wird immer wieder deutlich, dass gerade im personellen Bereich zu wenig Ressourcen vorhanden und die Mitarbeiter nicht ausreichend geschult sind“, betont Balz. „Wir wollen den Gordischen Knoten durchschlagen und die vielen Angebote und Initiativen an die Zielgruppe herantragen.“
Cloud-Dienste gelten als sichere Alternative
Wie notwendig die Aktionspläne und das gebündelte, kuratierte Angebot des jüngst von der TISiM gestarteten Sec-O-Mats sind, offenbart der DsiN-Praxisreport Mittelstand 2020. Unter der Schirmherrschaft des BMWi legt die repräsentative Studie dar, dass fast die Hälfte aller Unternehmen Cyberangriffe verzeichneten, jedoch nur wenige angemessen auf die Bedrohung reagieren. Über ein Drittel der Betriebe hat keine Krisenreaktionspläne, ein Viertel verfügt über keinerlei Datensicherungen und fast die Hälfte verzichtet auf sämtliche Hinweise und Informationen über sicheres Verhalten am Arbeitsplatz.
Immerhin der Einsatz von Cloudlösungen habe zugenommen, so die Studienautoren. Trotzdem nutzen über die Hälfte der Unternehmen noch immer keine derartigen Dienste, obwohl sie sich folglich um Updates und IT-Sicherheit selbst kümmern müssen. „Wenn ein System halbgar selbst betrieben wird, sind die Nutzung der Cloud sowie das Zurückgreifen auf ein Rechenzentrum des Vertrags- oder Wartungspartners gute und valide Optionen“, resümiert IT-Sicherheitsexperte Udo Schneider. Die Gefahren der Digitalisierung werden somit durch Digitalisierung minimiert.